基于實網(wǎng)的攻防平臺設(shè)計研究

郭金所

(最高人民檢察院檢察技術(shù)信息研究中心 北京 100726)

(gjs616@126.com)

網(wǎng)絡(luò)靶場是開展專業(yè)化網(wǎng)絡(luò)攻防對抗、研發(fā)網(wǎng)絡(luò)安全高新技術(shù)和提升網(wǎng)絡(luò)攻防技術(shù)能力的重要基礎(chǔ)設(shè)施和平臺.在網(wǎng)絡(luò)空間這個沒有硝煙的戰(zhàn)場，敵我雙方圍繞制網(wǎng)權(quán)、制信息權(quán)的對抗日益激烈，新技術(shù)、新手段、新應(yīng)用、新方法、新策略等不斷出現(xiàn).建立面向?qū)崙?zhàn)對抗需求的實網(wǎng)攻防支撐環(huán)境，在不影響業(yè)務(wù)正常運營的前提下，直接在真實網(wǎng)絡(luò)環(huán)境開展對抗，這種方式更加真實、貼近實戰(zhàn)[1].也是提升網(wǎng)絡(luò)安全技術(shù)能力、促進網(wǎng)絡(luò)安全管理工作長遠發(fā)展的重要舉措.

1 我國攻防平臺現(xiàn)狀及問題

實網(wǎng)攻防靶場環(huán)境是針對網(wǎng)絡(luò)攻防演練和網(wǎng)絡(luò)新技術(shù)驗證評測的重要基礎(chǔ)設(shè)施，世界各國均將網(wǎng)絡(luò)攻防靶場平臺建設(shè)作為支撐網(wǎng)絡(luò)空間安全技術(shù)演示驗證、攻防對抗演練和網(wǎng)絡(luò)安全風險評估的重要抓手：美國政府率先開始了網(wǎng)絡(luò)安全靶場的設(shè)計和運營，不但在各行業(yè)構(gòu)建了小型靶場，還設(shè)計組建國家網(wǎng)絡(luò)安全靶場[2-4]；英國自行創(chuàng)建了國家網(wǎng)絡(luò)安全靶場，還將部分靶場與美國“國家網(wǎng)絡(luò)安全靶場”實現(xiàn)了聯(lián)網(wǎng)運行，建立了聯(lián)合網(wǎng)絡(luò)安全靶場；歐洲防務(wù)署也專門批準了網(wǎng)絡(luò)攻防測試靶場的建設(shè)計劃[5].我國中科院計算所、北京郵電大學、國防科技大學、四川大學、CNCERT、哈爾濱工業(yè)大學等研究機構(gòu)已經(jīng)建立了網(wǎng)絡(luò)安全靶場[6]；電力行業(yè)、交通行業(yè)、電子行業(yè)等也建立了基于行業(yè)特點的攻防靶場平臺.這些平臺主要是基于網(wǎng)絡(luò)安全仿真技術(shù)，開展產(chǎn)品試驗和檢測以及攻防對抗演習等模擬性、仿真性、測試性的工作[7-9].真正意義上的基于實網(wǎng)環(huán)境下的攻防平臺目前國內(nèi)還沒有成熟的案例，這是因為我國攻防平臺技術(shù)發(fā)展起步相對較晚，還處于起步發(fā)展階段.現(xiàn)階段國內(nèi)各安全廠商主要圍繞基于仿真和虛擬化技術(shù)開展網(wǎng)絡(luò)靶場平臺產(chǎn)品及技術(shù)研發(fā).網(wǎng)絡(luò)靶場涉及大規(guī)模網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)流量/服務(wù)與用戶行為模擬、試驗數(shù)據(jù)采集與評估、系統(tǒng)安全與管理等多項復(fù)雜的理論和技術(shù)[2].這些網(wǎng)絡(luò)靶場在建設(shè)成本、網(wǎng)絡(luò)規(guī)模、環(huán)境復(fù)雜度、復(fù)現(xiàn)仿真程度和行業(yè)應(yīng)用場景上存在巨大差異[10].

經(jīng)過長期的研究探索和歸納總結(jié)，本文認為基于仿真和虛擬化技術(shù)的網(wǎng)絡(luò)靶場平臺在新網(wǎng)絡(luò)空間真實目標、真實對抗的實網(wǎng)環(huán)境下存在以下主要問題：通過虛擬化仿真技術(shù)模擬的業(yè)務(wù)系統(tǒng)相對真實業(yè)務(wù)系統(tǒng)存在數(shù)據(jù)實時流轉(zhuǎn)滯后性、基礎(chǔ)網(wǎng)絡(luò)環(huán)境局限性、內(nèi)置攻擊路徑和漏洞利用單一固化性.無法滿足在實網(wǎng)環(huán)境下“事前、事中、事后”實現(xiàn)“全程監(jiān)控、全程審計、全程錄屏、全程錄像”安全需求；無法開展實網(wǎng)數(shù)據(jù)分析和挖掘以及分析研判網(wǎng)絡(luò)安全態(tài)勢工作；整個攻防演練全流程工作無法達到近似或者等同實網(wǎng)環(huán)境下的業(yè)務(wù)系統(tǒng)演練防護效果.

2 實網(wǎng)攻防平臺的建設(shè)思路

真實環(huán)境下的實網(wǎng)攻防是網(wǎng)絡(luò)安全中最能檢驗安全防御能力、發(fā)現(xiàn)當前網(wǎng)絡(luò)環(huán)境存在安全風險的有效方式.本文致力于研究設(shè)計一套基于實網(wǎng)環(huán)境的攻防平臺，用于支撐實網(wǎng)環(huán)境下的攻防實戰(zhàn)演練工作，實現(xiàn)持續(xù)性監(jiān)控與分析，主動式威脅探索，通過實戰(zhàn)演練切實提升安全人員的網(wǎng)絡(luò)安全綜合防御能力.基本設(shè)計思路是：

實網(wǎng)攻防平臺立足于從仿真模擬技術(shù)向?qū)嵕W(wǎng)對抗技術(shù)升級的技術(shù)理念.首先，平臺技術(shù)架構(gòu)應(yīng)滿足安全可靠、自主可控，可以支撐海量流量數(shù)據(jù)，實現(xiàn)海量數(shù)據(jù)的實時分析、實時建模、實時管控的目標.其次，平臺具備智能化和自動化的能力，可基于歷史攻防數(shù)據(jù)進行深度挖掘并多維度關(guān)聯(lián)分析，支撐體現(xiàn)APT級別技戰(zhàn)法；基于“人地網(wǎng)關(guān)系”模型，具備網(wǎng)絡(luò)空間的“掛圖作戰(zhàn)”能力，可以實時展示攻防對抗過程及安全能力.最后，通過實網(wǎng)攻防平臺開展實戰(zhàn)演練可以有效檢測安全防護體的系防護效果，為安全能力缺陷查找和補齊安全短板工作提供支撐.

3 實網(wǎng)攻防平臺總體技術(shù)架構(gòu)設(shè)計

根據(jù)實網(wǎng)攻防平臺建設(shè)思路和設(shè)計要點，實網(wǎng)攻防平臺技術(shù)架構(gòu)設(shè)計如圖1所示.

圖1 實網(wǎng)攻防平臺技術(shù)架構(gòu)

實網(wǎng)攻防平臺由攻防能力對抗空間、攻防對抗安全管控、安全態(tài)勢分析展示、指揮調(diào)度掛圖作戰(zhàn)、安全大數(shù)據(jù)平臺5大模塊組成.5大模塊協(xié)同工作支撐基于實網(wǎng)攻防平臺的實演活動.

3.1 攻防能力對抗空間

在實網(wǎng)環(huán)境開展實戰(zhàn)化的攻防對抗能夠真實再現(xiàn)攻擊方和防御方2端的安全能力，因此實網(wǎng)攻防平臺應(yīng)圍繞以人為本的攻防對抗理念展開設(shè)計[11].

為了保證演習中攻擊方、防守方、支撐隊伍等所有參與人員行為和武器工具等在“事前、事中、事后”全程可管可控，本文首先構(gòu)建了可信可控的實戰(zhàn)攻防能力對抗空間.

攻防能力對抗空間設(shè)計結(jié)構(gòu)與實戰(zhàn)相結(jié)合，分為攻擊體系、對抗技術(shù)、防御體系3個維度.每個維度從認證授權(quán)、終端接入、武器審查、行為及影響控制等全鏈路關(guān)鍵技術(shù)研究入手，形成了基于安全能力的零信任架構(gòu)訪問控制、基于可信架構(gòu)與安全能力的云管端全封閉安全管控體系，以及基于攻擊源實時動態(tài)隱蔽的攻擊網(wǎng)絡(luò)，以實現(xiàn)演習全程安全可控[12].

第一，以零信任的安全理念進行關(guān)鍵的訪問控制技術(shù)設(shè)計，打造攻防對抗信任基礎(chǔ).

第二，基于云管端進行攻防演練平臺全方位安全管控設(shè)計，實現(xiàn)三位一體安全能力.云端：平臺設(shè)計具備本地云化部署的管控中心，對虛擬化環(huán)境和應(yīng)用進行可信管理，并基于密碼技術(shù)構(gòu)建可信傳輸通道.管端：基于端到端網(wǎng)絡(luò)層攻擊鏈路技術(shù)，構(gòu)建安全攻擊通道，結(jié)合操作系統(tǒng)底層技術(shù)，從終端、準入、過程、存儲等多維度保障實網(wǎng)攻防平臺接入管道，實現(xiàn)強制接入全封閉終端可信管控.端端：多因子認證和鏈路可信接入終端和可信管控設(shè)計的方案，可以實現(xiàn)攻防裝備工具安全檢測，在攻防演練中只允許受信裝備工具的執(zhí)行操作.

第三，研發(fā)攻擊源實時動態(tài)隱蔽技術(shù)，實戰(zhàn)化開展攻防.基于海量IP的連接源預(yù)置緩存、隨機聯(lián)接IP彈性分配等技術(shù)，在確保攻擊流量和安全管控不間斷的前提下，研發(fā)攻擊源實時動態(tài)隱蔽技術(shù).圍繞多對多的數(shù)據(jù)鏈隱蔽真實攻擊者信息，實現(xiàn)攻擊實戰(zhàn)化的功能.

通過以上關(guān)鍵創(chuàng)新技術(shù)構(gòu)建自主可控、安全可靠的實戰(zhàn)攻防空間，實現(xiàn)從“仿真”模擬技術(shù)向?qū)嵕W(wǎng)對抗技術(shù)升級轉(zhuǎn)變.

3.2 攻防對抗安全管控

有了自主可控、安全可靠的實戰(zhàn)攻防空間和升級的實網(wǎng)對抗技術(shù)，下一步需要解決的是如何體現(xiàn)展示實際攻防對抗能力，尤其是支撐APT級技戰(zhàn)法的能力[13].

攻防對抗安全管控從以下3個方面進行全管控設(shè)計：

1) 基于可信多因子認證授權(quán)機制，實現(xiàn)對攻防全流程、全階段的安全管控；

2) 創(chuàng)建檢測與預(yù)警機制，實現(xiàn)對攻防雙方全流程管控以及對非演練真實惡意攻擊行為快速告警；

3) 支持功能拓展接入，支持syslog、API接口、DMDB等多種方式接入多源數(shù)據(jù).

3.3 安全態(tài)勢分析展示

安全態(tài)勢分析展示模塊將攻防對抗的實時動作情況進行呈現(xiàn).通過云監(jiān)控、流量解析、安全大數(shù)據(jù)分析等技術(shù)進行數(shù)據(jù)可視化呈現(xiàn)，形成實戰(zhàn)演習的全周期安全態(tài)勢展示，從安全隱患的角度對整體的網(wǎng)絡(luò)安全態(tài)勢進行分析，包括攻擊手段、網(wǎng)絡(luò)武器、漏洞利用、管理缺陷、安全缺陷以及集權(quán)系統(tǒng)利用等，每個維度均可進行下鉆查看.

通過對提取的攻擊數(shù)據(jù)進行機器學習最終實現(xiàn)高精準的攻擊鏈檢測與還原.以Lockheed Martin開發(fā)的Cybe Kill Chain(網(wǎng)絡(luò)殺傷鏈)為依據(jù)，按照攻擊鏈的理論映射到攻擊鏈模型上.通過觀察入侵動作在攻擊鏈的位置信息，預(yù)測該入侵事件的下一步信息，感知當前區(qū)域的成功攻擊情況，真實刻畫該區(qū)域的安全態(tài)勢.安全態(tài)勢分析展示設(shè)計分為攻擊態(tài)勢監(jiān)測、戰(zhàn)況總覽、實況展示、實時排行展示、攻防技戰(zhàn)法，攻防成果方面展示.態(tài)勢分析呈現(xiàn)突破傳統(tǒng)表格、圖表組合呈現(xiàn)方式，以3D立體場景呈現(xiàn)，提高信息表達的準確性和有效性，促進用戶理解和直觀感受.

對態(tài)勢研判數(shù)據(jù)結(jié)合防守方業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)設(shè)施信息，研判可能被利用的漏洞.基于安全防護體系的脆弱信息進行模擬APT威脅態(tài)勢感知分析.達到綜合評估安全防御體系的防護能力，為安全缺陷查找和補齊安全短板工作提供依據(jù)支撐.

3.4 指揮調(diào)度掛圖作戰(zhàn)

指揮調(diào)度掛圖作戰(zhàn)模塊實現(xiàn)保障實網(wǎng)攻防順利開展及突發(fā)事件緊急處置，供指揮部掌控全局情況、下達臨場指揮命令.

不同的領(lǐng)域，對“人、財、物”需求的解讀是不同的，而在網(wǎng)絡(luò)安全領(lǐng)域如果能夠重點關(guān)注“人、財、物”要素，將會顯著提升網(wǎng)絡(luò)空間的安全防護水平.基于網(wǎng)絡(luò)空間測繪技術(shù)融合網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)空間資產(chǎn)數(shù)據(jù)，從地理、資產(chǎn)、事件3個維度描述網(wǎng)絡(luò)空間資源的分布和屬性，從社會人、網(wǎng)絡(luò)、地理空間與數(shù)字化信息數(shù)據(jù)間的關(guān)聯(lián)關(guān)系建立“人地網(wǎng)關(guān)系”模型.網(wǎng)絡(luò)空間地圖主要包括網(wǎng)絡(luò)空間要素可視化表達、網(wǎng)絡(luò)空間關(guān)系可視化描述和網(wǎng)絡(luò)安全事件可視化分析等.根據(jù)網(wǎng)絡(luò)空間要素自身的結(jié)構(gòu)和特點，并結(jié)合網(wǎng)絡(luò)安全業(yè)務(wù)需求，本文將網(wǎng)絡(luò)空間要素劃分為地理環(huán)境、網(wǎng)絡(luò)環(huán)境、行為主體和業(yè)務(wù)環(huán)境4個層次，各要素之間相互聯(lián)系、相互影響，共同構(gòu)成網(wǎng)絡(luò)空間要素體系.網(wǎng)絡(luò)空間要素可視化表達主要分析網(wǎng)絡(luò)空間要素的類型、層次、時空基準、表達標準和尺度問題，并以網(wǎng)絡(luò)空間地理圖譜的形式進行展示.網(wǎng)絡(luò)空間要素表達以網(wǎng)絡(luò)空間地理測繪及地圖構(gòu)建為基礎(chǔ)，將地理空間中網(wǎng)絡(luò)地理實體抽象為多尺度的空間對象，利用網(wǎng)絡(luò)探測成果與網(wǎng)絡(luò)拓撲結(jié)構(gòu)數(shù)據(jù)，結(jié)合空間鏈接與實體映射，構(gòu)建網(wǎng)絡(luò)空間地圖，最終實現(xiàn)網(wǎng)絡(luò)空間的“掛圖作戰(zhàn)”.

3.5 安全大數(shù)據(jù)平臺

安全大數(shù)據(jù)平臺模塊提供安全賦能，基于數(shù)據(jù)的采集、脫敏、存儲、檢索、融合分析的設(shè)計理念[14]，安全大數(shù)據(jù)平臺匯聚管理安全數(shù)據(jù)采集與脫敏子系統(tǒng)、EB級海量數(shù)據(jù)存儲子系統(tǒng)、多源異構(gòu)數(shù)據(jù)協(xié)同子系統(tǒng)、海量數(shù)據(jù)檢索引擎以及云地結(jié)合智能分析子系統(tǒng)等構(gòu)成.充分利用網(wǎng)絡(luò)安全多維度數(shù)據(jù)實現(xiàn)解決APT級攻擊防御的問題.

1) 安全數(shù)據(jù)采集與脫敏子系統(tǒng).通過采集多來源的安全數(shù)據(jù)為實網(wǎng)攻防平臺提供安全能力數(shù)據(jù)來源，采用基于網(wǎng)關(guān)代理模式的動態(tài)脫敏技術(shù)，實現(xiàn)實時模糊敏感數(shù)據(jù)的效果.

2) EB級海量數(shù)據(jù)存儲子系統(tǒng).存儲計算子系統(tǒng)實現(xiàn)安全大數(shù)據(jù)的實時匯聚存儲及計算平臺支撐，用于存儲由安全大數(shù)據(jù)采集來的程序文件樣本、程序行為日志、DNS解析記錄、網(wǎng)絡(luò)流量數(shù)據(jù)、物聯(lián)網(wǎng)安全數(shù)據(jù)等數(shù)據(jù)，提供多維數(shù)據(jù)支撐.

3) 多源異構(gòu)數(shù)據(jù)協(xié)同子系統(tǒng).采用異構(gòu)大數(shù)據(jù)動態(tài)融合方法，對原始數(shù)據(jù)從對象、屬性、關(guān)系等多個層級進行抽象，描繪和關(guān)聯(lián)，以分層聚類和迭代演進的方式對海量異構(gòu)數(shù)據(jù)的結(jié)構(gòu)進行全自動梳理和融合，最終實現(xiàn)信息安全業(yè)務(wù)邏輯數(shù)據(jù)模型的自動構(gòu)建.

4) 海量數(shù)據(jù)檢索引擎.數(shù)據(jù)檢索引擎實現(xiàn)海量結(jié)構(gòu)化數(shù)據(jù)檢索的秒級響應(yīng)，建立可支持多源數(shù)據(jù)聯(lián)合、高效快速的輕量統(tǒng)一查詢?nèi)肟?通過系統(tǒng)配置可兼容不同執(zhí)行引擎下的元信息，從而實現(xiàn)對不同數(shù)據(jù)源的聯(lián)合訪問，解決處理多數(shù)據(jù)源的復(fù)雜性問題.

5) 云地結(jié)合智能分析子系統(tǒng).基于云端的多維度海量網(wǎng)絡(luò)安全數(shù)據(jù)進行情報挖掘與云端關(guān)聯(lián)分析，識別各種安全威脅，包括僵木蠕毒、APT攻擊、DDoS攻擊、漏洞攻擊等，并將威脅情報以可機讀格式推送到實網(wǎng)攻防平臺本地. 攻防平臺本地基于深度學習的惡意軟件樣本智能識別方法、釣魚郵件檢測方法以及基于云網(wǎng)站應(yīng)用漏洞掃描技術(shù)實現(xiàn)內(nèi)部安全威脅的檢測和溯源分析.

3.6 實網(wǎng)攻防平臺運轉(zhuǎn)

實網(wǎng)攻防演習工作整體框架由組織單位、實網(wǎng)攻防平臺、攻擊隊伍、防守隊伍4部分組成.攻擊隊、防守隊為專業(yè)網(wǎng)絡(luò)安全人員，攻擊隊和防守隊通過可信接入方式接入到實戰(zhàn)攻防平臺進行演練工作，架構(gòu)設(shè)計如圖2所示[15]:

圖2 實網(wǎng)攻防平臺模塊運轉(zhuǎn)

實網(wǎng)攻防平臺作為實戰(zhàn)攻防演練活動的支撐平臺，其中攻防能力對抗空間與攻防對抗安全管控2大模塊是支撐實網(wǎng)攻防平臺運行的基礎(chǔ)實施層，實現(xiàn)對攻擊方資源、監(jiān)控資源和防守方資源的管理與調(diào)配.安全大數(shù)據(jù)平臺模塊實現(xiàn)對攻擊隊和防守隊演練過程中所有數(shù)據(jù)流量的采集、清洗、分析、存儲和關(guān)聯(lián)分析.指揮調(diào)度掛圖作戰(zhàn)為攻防演習提供了攻擊實施環(huán)境管控、實時戰(zhàn)況展示、演習指揮調(diào)度、安全隱患分析、攻防雙方成績評審、安全審計等攻防演習全流程支撐.安全態(tài)勢分析展示模塊實時呈現(xiàn)攻防對抗的情況，通過大屏數(shù)據(jù)可視化呈現(xiàn)，形成實戰(zhàn)演習的全周期安全態(tài)勢展現(xiàn)，并對整體的網(wǎng)絡(luò)安全態(tài)勢進行深度展示分析.

實網(wǎng)攻防平臺可以有效支撐實網(wǎng)攻防演練活動安全運行，發(fā)現(xiàn)并暴露當前網(wǎng)絡(luò)安全體系存在的問題，結(jié)合現(xiàn)有的安全技術(shù)理念，總結(jié)存在的不足及問題，規(guī)劃并推動參演單位不斷完善網(wǎng)絡(luò)安全建設(shè)，提升網(wǎng)絡(luò)安全防護能力.

4 結(jié)束語

本文從當前國內(nèi)實網(wǎng)攻防平臺的需求出發(fā)，分析了目前基于仿真技術(shù)網(wǎng)絡(luò)靶場的不足之處，創(chuàng)新性地設(shè)計了一套基于實網(wǎng)環(huán)境的攻防平臺包含的技術(shù)架構(gòu)、思路和技術(shù)方法.該技術(shù)架構(gòu)設(shè)計不僅可以滿足在實網(wǎng)環(huán)境下開展實戰(zhàn)攻防演練，還能夠?qū)崿F(xiàn)實網(wǎng)安全技術(shù)研究、安全人才培養(yǎng)、安全測試、產(chǎn)品賦能以及安全態(tài)勢推演工作，對國內(nèi)實網(wǎng)攻防技術(shù)及產(chǎn)品的研發(fā)具有指導(dǎo)意義.